Win2K Internet服务器安全构建指南

三、Win2K安装后要重点考虑的安全配置信息

操作系统安装完毕后，建议执行如下安全配置：

1、安装微软高级加密包（Microsoft High Encryption Pack），将服务器升级为128位加密。

　　默认状态下，服务器软件的加密状态处于较低级别，我们必须手工将其配置为128位加密。而且，这项工作应该在创建帐号和组之前进行，这样就可以保证在服务器上创建的所有项目都是128位加密级别的。

2、安装最新的SP软件包和Hotfixes

　　微软的产品是老裁缝做的，不打补丁不漂亮的，所以管理员们要经常访问以下地址看看是否又有新补丁面世：

http://www.microsoft.com/Windows2000/downloads/default.ASP

　　这个地址包含了大量关于Win2K的信息，对日常管理Win2K服务器非常有参考价值。关于HotFixes有一点需要注意：只在系统需要的时候才安装相应HotFix。因为，并不是每个服务器都需要所有的HotFix，其中有一些hotfix修复的漏洞只存在于某些特定配置中。

3、对系统服务的启动方式重新进行规划

　　默认状态下，许多服务都随系统启动而启动。但由于有些服务因为启动帐号身份的权限过大，有可能埋下安全隐患地雷，因此必须对所有服务的启动方式进行重新规划。规划的原则应该是：除非绝对必要，关闭该服务。